Misure di sicurezza ed integrita’ delle reti di comunicazione elettronica e notifica degli incidenti significativi.

MINISTERO DELLO SVILUPPO ECONOMICO

DECRETO 12 dicembre 2018

Misure di sicurezza ed integrita’ delle reti di comunicazione elettronica e notifica degli incidenti significativi. (19A00317) (GU Serie Generale n.17 del 21-01-2019)

 

IL MINISTRO DELLO SVILUPPO ECONOMICO

 

  Visto il decreto legislativo 1° agosto 2003,  n.  259,  recante  il Codice  delle  comunicazioni  elettroniche,  modificato  dal  decreto

legislativo 28 maggio 2012,  n.  70  in  attuazione  delle  direttive 2009/140/CE in materia di reti e servizi di comunicazione elettronica e 2009/136/CE in materia di trattamento dei dati personali  e  tutela della vita privata;

  Visti in particolare, gli articoli 16-bis  e  16-ter  del  predetto decreto legislativo n. 259 del 2003 e successive modificazioni;

  Vista la legge 3  agosto  2007,  n.  124,  recante  il  sistema  di informazione per la sicurezza della Repubblica e la nuova  disciplina del segreto;

  Vista  la  direttiva  adottata  con  decreto  del  Presidente   del Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la protezione  cibernetica  e  la   sicurezza   informatica   nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;

  Visto il decreto legislativo 18 maggio 2018, n. 65, che ha recepito la direttiva (UE) 2016/1148 in materia di sicurezza delle reti e  dei sistemi informativi, ed in particolare l’art. 8 e l’art. 12, comma  6 relativi rispettivamente al CSIRT  Italiano  e  all’organo  istituito presso il Dipartimento informazioni per la sicurezza  incaricato,  ai

sensi delle direttive  del  Presidente  del  Consiglio  dei  ministri adottate sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), delle attivita’ di prevenzione e  preparazione  ad eventuali situazioni di crisi e di  attivazione  delle  procedure  di allertamento;

  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il «Codice in materia di protezione dei dati personali»;

  Visto il decreto del Ministro delle comunicazioni di  concerto  con il Ministro dell’economia e  delle  finanze  del  15  febbraio  2006,

pubblicato nella Gazzetta Ufficiale del  7  aprile  2006,  n.  82,  e relativo ai compensi dovuti per prestazioni conto terzi eseguite  dal Ministero delle comunicazioni,  ai  sensi  dell’art.  6  del  decreto legislativo 30 dicembre 2003, n. 366;

  Visto il decreto della Presidenza  del  Consiglio  dei  ministri  5 dicembre 2015, n. 158, recante il Regolamento di  organizzazione  del Ministero dello sviluppo economico, ed in particolare l’art.  14  che affida all’Istituto superiore delle comunicazioni e delle  tecnologie dell’informazione      l’      individuazione      delle       misure tecnico-organizzative di  sicurezza  ed  integrita’  delle  reti,  la verifica del rispetto delle stesse e la notifica degli  incidenti  di sicurezza significativi agli  organi  europei  competenti,  ai  sensi degli articoli 16-bis e 16-ter  del  decreto  legislativo  1°  agosto 2003, n. 259, in accordo con i soggetti istituzionali  competenti  e, in particolare, con l’Agenzia per l’Italia Digitale;

  Vista la  legge  31  luglio  1997,  n.  249,  recante  «Istituzione dell’Autorita’ per  le  garanzie  nelle  comunicazioni  e  norme  sui sistemi delle telecomunicazioni e radiotelevisivo» e, in particolare, l’art. 1;

  Tenuto conto delle indicazioni contenute  nei  documenti  elaborati dall’Agenzia europea per la sicurezza delle reti e  dell’informazione (ENISA) con il contributo degli  Stati  membri  dell’Unione  europea: «Technical  guidance  on  the  security  measures  in  Article   13a» -Versione 2.0, Ottobre 2014 e «Technical  guidance  on  the  incident

reporting in Article 13» Versione 2.1, Ottobre 2014;

  Considerata la necessita’ di attuare le disposizioni  dei  suddetti articoli 16-bis e 16-ter,  al  fine  di  incrementare  i  livelli  di sicurezza delle reti e la disponibilita’ dei servizi su tali reti;

  Considerati i dati pubblicati nell’Osservatorio  trimestrale  delle comunicazioni  a  cura   dell’Autorita’   per   le   garanzie   nelle comunicazioni relativamente alla  base  di  utenti  nazionali  per  i servizi voce e dati su rete fissa e rete mobile;

  Sentiti i fornitori di reti e servizi di comunicazione  elettronica e le relative Associazioni;

  Sentite l’Autorita’ per le garanzie nelle comunicazioni e l’Agenzia per l’Italia Digitale;

Decreta:

Art. 1 – Definizioni

 

1. Ai fini del presente decreto si intende per:

     a) «incidente di  sicurezza»:  una  violazione  della  sicurezza  o perdita dell’integrita’ che determina un malfunzionamento delle  reti e dei servizi di comunicazione elettronica;

  b) «asset critico»: un’infrastruttura in grado di  fornire  servizi di comunicazione elettronica a un  significativo  numero  di  utenti, espresso  in  termini  percentuali  rispetto  alla  base  di   utenti nazionale dei medesimi servizi;

  c) «sicurezza e integrita’ della rete»: condizioni  che  assicurano la  disponibilita’  e  continuita’  dei  servizi   di   comunicazioni elettroniche forniti;

  d) «base di utenti nazionale»: il numero totale di utenti finali  a livello nazionale per singolo servizio di comunicazioni elettroniche,

da intendersi come:

  – numero di accessi complessivi da rete fissa (sia voce che dati);

  – numero complessivo delle SIM attive  Human  (per  traffico  voce  e dati).

2. Per quanto non espressamente previsto dal comma 1, si  applicano le definizioni del  decreto  legislativo  1°  agosto  2003,  n.  259, recante il «Codice delle comunicazioni elettroniche».

 

 Art. 2 – Scopo del decreto


  1. Il presente decreto attua le disposizioni degli articoli  16-bis e 16-ter del decreto legislativo  1°  agosto  2003,  n.  259,  e,  in particolare, persegue i seguenti obiettivi:

  a) individuare adeguate misure di natura  tecnico  –  organizzativa per  la  sicurezza  e  l’integrita’  delle  reti  e  dei  servizi  di comunicazione elettronica,  al  fine  di  conseguire  un  livello  di sicurezza delle reti adeguato al rischio esistente e di garantire  la disponibilita’ e continuita’ dei servizi su tali reti,  prevenendo  e limitando gli  impatti  di  incidenti  che  possono  pregiudicare  la sicurezza per gli utenti e per le reti interconnesse;

  b) definire i casi in cui le violazioni della  rete  o  la  perdita dell’integrita’ sono da considerarsi  significative,  ai  fini  della notifica da parte dei fornitori di reti e  servizi  di  comunicazione alle competenti Autorita’,nonche’  le  relative  modalita’  di  tale notifica.

 

 Art. 3 – Campo di applicazione


1. Il presente decreto  si  applica  ai  servizi  di  comunicazione elettronica di seguito riportati:

  a) accesso alla rete fissa o mobile da postazione fissa;

  b) accesso alla rete fissa o mobile da terminale mobile.

 

2. Il presente decreto si applica ai fornitori di reti e servizi di comunicazione elettronica che servono un numero di  utenti  effettivo pari o superiore all’1% della base di utenti  nazionale  per  ciascun servizio di cui al comma 1, calcolato sulla base dei dati  pubblicati dall’Osservatorio   trimestrale   delle comunicazioni    a    cura dell’Autorita’ per  le  garanzie  nelle  comunicazioni.  Il  presente decreto si applica  altresi’  ai  fornitori  di  reti  e  servizi  di comunicazione elettronica che servono un numero di  utenti  effettivo pari o superiore ad un milione.

 

 Art. 4 – Misure di sicurezza e integrita’ delle reti


1. I fornitori di reti e servizi di comunicazione elettronica  sono
tenuti ad adottare le seguenti misure di sicurezza e integrita’ delle reti e dei servizi:

    a) politica di sicurezza approvata dalla Direzione aziendale:

  1)  predisporre  una  documentata   politica   relativamente   alla sicurezza e alla integrita’ delle reti di comunicazione e dei servizi forniti;

  2) definire una dettagliata politica di  sicurezza  per  gli  asset critici e i processi aziendali;

  3) definire e mantenere aggiornata una politica  di  sicurezza  per tutti gli aspetti elencati nelle successive lettere;

b) gestione del rischio:  

  1) individuare i principali rischi per la sicurezza e  l’integrita’ delle reti  e  dei  servizi  di  comunicazione  elettronica  forniti, tenendo conto delle minacce che insistono sugli asset critici;

  2) definire una metodologia di gestione  dei  rischi  e  utilizzare strumenti basati sugli standard di settore;

  3) verificare l’effettivo utilizzo di tali metodologie e  strumenti di gestione del rischio da parte del personale;

  4) assicurarsi che i rischi residui,  anche  derivanti  da  vincoli realizzativi,  siano  minimizzati  rispetto  alla  probabilita’   del verificarsi di incidenti significativi e che  siano  accettati  dalla Direzione;

 

c) struttura organizzativa:

  1)  identificare   ruoli   per   il   personale   e   le   relative responsabilita’ in autonomia di esercizio;

  2) conferire,  con  formale  nomina,  ruoli  e  responsabilita’  al personale;

  3) assicurare la reperibilita’, in caso di incidenti di  sicurezza, del personale responsabile;

 

d) servizi e prodotti forniti da terze parti:

  1) definire i requisiti di sicurezza nei contratti con terze parti;

  2) verificare il rispetto dei requisiti fissati nei contratti;

  3) assicurare che i rischi residui che non sono gestiti dalla terza parte siano minimizzati rispetto alla probabilita’ del verificarsi di incidenti e che siano accettati dalla Direzione;

  4)  tenere  traccia  ed  eventualmente  gestire  gli  incidenti  di sicurezza  relativi  a  terze  parti  o  da  esse  causati   che   si ripercuotono sulla rete o sul servizio erogato;

 

e) formazione e gestione del personale:

  1) definire un piano di formazione del personale;

  2) prevedere un’adeguata ed aggiornata formazione del personale con ruoli di responsabilita’;

  3) organizzare corsi di formazione e sessioni di  sensibilizzazione

per tutto il personale;

  4) verificare le conoscenze acquisite dal personale;

  5) definire appropriate procedure per gestire le nuove assunzioni e la rotazione del personale che ricopre ruoli di responsabilita’;

  6) revocare diritti di accesso, se non piu’ giustificati;

  7) definire procedure di intervento per violazioni delle  politiche di sicurezza di cui  alla  lettera  a),  che  mettano  a  rischio  la sicurezza e l’integrita’ delle reti e dei  servizi  di  comunicazione elettronica;

f) sicurezza fisica e logica:

  1)   definire   condizioni,   responsabilita’   e   procedure   per l’assegnazione,  la  revoca   dei   diritti   di   accesso,   e   per l’approvazione delle eventuali eccezioni;

  2) definire meccanismi di autenticazione appropriati, a seconda del tipo di accesso;

  3)  adottare  meccanismi  di  protezione  da  accessi  fisici   non autorizzati o da eventi imprevisti quali, a titolo esemplificativo ma non esaustivo, furti con scasso, incendi, inondazioni;

  4) adottare meccanismi di controllo di accesso  logico  appropriati per l’accesso alla rete e ai sistemi di informazione per  consentirne solo l’uso autorizzato;

  5) verificare che utenti e sistemi abbiano  ID  univoci  e  possano accedere ad altri servizi e sistemi previa autenticazione;

  6) monitorare e registrare gli accessi;

 

  7) prevedere meccanismi di  protezione  degli  impianti  funzionali all’erogazione del servizio, quali, a titolo esemplificativo  ma  non esaustivo, elettricita’ e gas;

g) integrita’ della rete e dei sistemi informativi:

  1) implementare sistemi di protezione e di  rilevamento  di  codice malevolo che possa alterare la funzionalita’ dei sistemi;

  2) assicurarsi che il software impiegato nella rete e  nei  sistemi informativi non venga manomesso o alterato;

  3) assicurarsi che i dati critici sulla sicurezza, quali, a  titolo esemplificativo ma non esaustivo,  password  e  chiavi  private,  non siano divulgati o manomessi;

h) gestione operativa:

      1)  predisporre  le  procedure  operative   e   individuare   i responsabili per il funzionamento dei sistemi critici;

      2)  predisporre  procedure  per  la   gestione   di   eventuali cambiamenti;

      3) attenersi alle procedure predefinite  quando  si  effettuano attivita’ sui sistemi critici;

      4)  registrare  e  documentare  ogni   modifica   o   attivita’ effettuata sui sistemi critici;

      5) predisporre e aggiornare un  database  delle  configurazioni dei sistemi critici per eventuali ripristini delle stesse;

      6) predisporre e aggiornare un inventario degli asset critici;

i) gestione degli incidenti di sicurezza:

      1) prevedere una struttura tecnica con  adeguata  competenza  e disponibilita’ incaricata della gestione degli incidenti;

      2) predisporre e aggiornare un database degli incidenti;

      3) esaminare i principali incidenti e redigere relazioni  sugli stessi, che contengano informazioni sulle azioni intraprese  e  sulle raccomandazioni per ridurre il rischio  del  ripetersi  di  incidenti analoghi;

      4)  definire  e  implementare  processi  e   sistemi   per   il rilevamento degli incidenti;

      5) definire procedure per informare gli utenti su incidenti  in corso o risolti, oltreche’ il CSIRT italiano e  l’Istituto  superiore delle  comunicazioni  e  delle   tecnologie   dell’informazione   del Ministero dello sviluppo economico (di seguito anche  ISCTI)  secondo quanto   previsto   dal   presente   decreto,   notiziando   comunque preventivamente il CSIRT e l’ISCTI;

      6) definire  procedure  per  la  segnalazione  degli  incidenti significativi ai sensi del successivo art. 5.

j) continuita’ operativa:

      1) predisporre e implementare piani di emergenza per gli  asset critici;

      2)  monitorare  l’attivazione  e  l’esecuzione  di   piani   di emergenza, registrando i tempi di ripristino dell’operativita’ e  del servizio;

      3)  predisporre  e  mantenere  una  appropriata  capacita’   di disaster recovery;

      4)  implementare  procedure  per  le  attivita’  di  ripristino dell’operativita’ e dei servizi;

k) monitoraggio, test e controllo:

      1) sottoporre a test reti, sistemi informativi e nuove versioni del software prima di utilizzarli o collegarli a sistemi esistenti;

      2) implementare il monitoraggio e la registrazione dello  stato e degli eventi dei sistemi critici;

      3) impostare gli  strumenti  per  raccogliere  e  archiviare  i registri dei sistemi critici;

      4)  configurare  strumenti  per   la   raccolta   e   l’analisi automatizzata di dati e registri di monitoraggio;

      5)  predisporre  un   programma   per   la   realizzazione   di esercitazioni periodiche per testare piani di disaster recovery e  di ripristino dei backup;

      6) implementare strumenti per test automatizzati;

      7)  assicurarsi  che  i  sistemi  critici  siano  sottoposti  a scansioni e test di sicurezza  regolarmente,  in  particolare  quando vengono introdotti nuovi sistemi e in seguito a modifiche;

      8) monitorare la conformita’ agli standard e alle  disposizioni normative.

2. Le misure di cui al comma 1 si riferiscono agli  asset  critici, individuati secondo le modalita’ di cui all’Allegato  1  al  presente decreto, in cui il valore della percentuale dell’utenza, che  l’asset e’ potenzialmente in grado di servire per ciascun servizio di cui  al comma 1, e’ pari o superiore all’1% della base  di  utenti  nazionale per quel servizio, sulla base dei dati  pubblicati  dall’Osservatorio trimestrale delle comunicazioni a cura dell’Autorita’ per le garanzie nelle comunicazioni. Le misure di  cui  al comma  1  si  riferiscono altresi’ agli asset critici individuati  secondo  i  criteri  di  cui all’Allegato 1 al presente decreto in cui il numero della  potenziale utenza servita e’ pari o superiore ad un milione.

 

 Art. 5 – Incidenti significativi

 1. I parametri che definiscono la significativita’ di un  incidente di sicurezza sono la durata del disservizio e  la  percentuale  degli utenti colpiti rispetto al totale degli utenti nazionali del servizio interessato.

 2. In attuazione dei parametri di cui  all’art.  3,  comma  2,  gli incidenti sono da considerarsi significativi, nei seguenti casi:

  a) durata superiore ad un’ora e percentuale  degli  utenti  colpiti superiore al quindici per cento del totale degli utenti nazionali del servizio interessato;

  b) durata superiore a due ore e percentuale  degli  utenti  colpiti superiore al dieci per cento del totale degli  utenti  nazionali  del servizio interessato;

  c) durata superiore  a  quattro  ore  e  percentuale  degli  utenti colpiti superiore  al  cinque  per  cento  del  totale  degli  utenti nazionali del servizio interessato;

  d) durata superiore a sei ore e percentuale  degli  utenti  colpiti superiore al due per cento del  totale  degli  utenti  nazionali  del servizio interessato;

  e) durata superiore ad otto ore e percentuale degli utenti  colpiti superiore all’uno per cento del totale  degli  utenti  nazionali  del servizio interessato.

3. Nei  casi  di  cui  al  comma  2,  i  fornitori  di  servizi  di comunicazione elettronica segnalano  tempestivamente  l’incidente  al CSIRT di cui all’art. 8 del decreto legislativo 18 maggio 2018, n. 65 e all’ISCTI. La comunicazione e’ effettuata  entro  ventiquattro  ore dall’avvenuta rilevazione dell’incidente,  con  l’indicazione  almeno delle seguenti informazioni, qualora disponibili:

  a) servizio interessato;

  b) durata dell’incidente qualora concluso, ovvero  la  stima  della conclusione se ancora in corso;

  c) impatto stimato sull’utenza del servizio interessato in  termini percentuali rispetto alla base di utenti nazionale  per  il  medesimo servizio.

4. Entro cinque giorni dalla segnalazione di  cui  al  comma  3,  i fornitori di servizi  di  comunicazione  elettronica  trasmettono  al CSIRT e all’ISCTI un rapporto in cui sono riportati:

  a) descrizione dell’incidente;

  b) causa dell’incidente quale, a titolo  meramente  esemplificativo ma non esaustivo, errore umano,  guasto,  fenomeno  naturale,  azioni malevoli, guasti causati da terze parti;

  c) conseguenze sul servizio fornito;

  d) infrastrutture e sistemi colpiti;

  e) impatto sulle interconnessioni a livello nazionale;

  f) azioni di risposta per mitigare l’impatto dell’incidente;

  g) azioni per ridurre la probabilita’ del ripetersi  dell’incidente o di incidenti simili.

  Eventuali informazioni rilevanti emerse  successivamente  all’invio del suddetto rapporto saranno  oggetto  di  un  rapporto  integrativo trasmesso con la massima sollecitudine al CSIRT e all’ISCTI.

5. L’ISCTI inoltra tempestivamente le comunicazioni di cui ai commi 3 e 4 all’organo di cui all’art. 12, comma 6, del decreto legislativo 18 maggio 2018, n. 65.

6. L’ISCTI invia all’Agenzia ENISA e alla Commissione  europea  con periodicita’ annuale un report sugli incidenti segnalati,  contenente le informazioni di cui ai  commi  3  e 4,  senza  l’indicazione  dei fornitori di reti e servizi di comunicazione elettronica interessati.

7. Nei casi in cui gli incidenti di cui al comma 3 possono avere un impatto su reti e servizi di un altro Stato membro,  i  fornitori  di reti e servizi di comunicazione elettronica informano tempestivamente il CSIRT e l’ISCTI per la successiva  notifica  all’Agenzia  ENISA  e all’Autorita’ dello Stato membro interessato.

Art. 6 – Rispetto degli obblighi

1.  Entro  novanta  giorni  dall’entrata  in  vigore  del  presente decreto, i fornitori di reti e servizi di  comunicazione  elettronica trasmettono all’ISCTI l’elenco  degli  asset  critici  oggetto  delle misure di cui all’art. 4, individuati  secondo  i  criteri  stabiliti nell’Allegato 1, e implementano tali misure nei successivi centoventi giorni.

2. Ai fini  della  valutazione  del  soddisfacimento  delle  misure definite nell’art. 4, comma 1 del  presente  decreto,  l’ISCTI  tiene conto anche dell’eventuale possesso di certificazioni di  conformita’ a  standard  riconosciuti  a  livello  internazionale  che  attestano l’applicazione di tali misure.

3.  Al  fine  di  verificare   la   corretta   applicazione   delle disposizioni  contenute   nel   presente   decreto,   l’ISCTI   puo’, autonomamente o su  impulso  dell’Autorita’  per  le  garanzie  nelle comunicazioni, effettuare verifiche e controlli presso  le  sedi  dei fornitori di reti  e  servizi  di  comunicazione  elettronica,  anche avvalendosi  degli  Ispettorati  territoriali  o  di   un   organismo qualificato indipendente.

  Ai sensi  dell’art.  16-ter,  comma  2,  lettera  b),  del  decreto legislativo 1° agosto 2003, n. 259, i relativi oneri finanziari  sono sostenuti  dai  fornitori  di  reti  e   servizi   di   comunicazione elettronica.

  Qualora dette attivita’ ispettive siano eseguite da  personale  del Ministero dello sviluppo economico si applica un rimborso delle spese sostenute calcolato  sulla  base  delle  disposizioni  contenute  nel decreto 15 febbraio 2006 del Ministro delle comunicazioni di concerto con il Ministro dell’economia e delle finanze.

  4. Qualora a seguito delle verifiche e  dei  controlli  di  cui  al comma 3 venga riscontrata la mancata applicazione delle  disposizioni del presente decreto, l’ISCTI diffida i fornitori di reti  e  servizi di comunicazione elettronica a  regolarizzare  la  propria  posizione entro un termine congruo decorso il quale, in caso di inottemperanza,

trovano applicazione le sanzioni di cui all’art. 98, commi da 4 a 12, del decreto legislativo 1° agosto 2003, n. 259.

 

Art. 7 – Disposizioni finali

  1. Dall’attuazione del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica.

  2. Il presente decreto e’ modificato almeno ogni due anni.

  3. Il presente decreto entra in vigore il  giorno  successivo  alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

 

    Roma, 12 dicembre 2018                                                  

 

Allegato 1

Modalita’ per l’individuazione degli asset critici di cui all’art. 4, comma 2

 

    Il presente  allegato  si  applica  a  ciascun  servizio  di  cui all’art. 3, comma 1.

1. Identificazione degli asset.

    Valutazione degli asset utilizzati per erogare i servizi  di  cui all’art. 3, comma 1, identificando per ciascuno di tali servizi tutti gli asset, propri o di terzi, che contribuiscono  anche  parzialmente alla fornitura dei servizi alla propria base di utenti.

2. Descrizione degli asset.

    Individuazione degli asset identificati in termini  funzionali  e architetturali per ciascun servizio di cui all’art. 3, comma 1, sulla base della seguente ripartizione di elementi funzionali:

      a) accesso (concentratori di rete fissa e apparati  della  rete radio di accesso);

      b) commutazione (autocommutatori, router);

      c) trasporto (apparati e cavi della rete ottica);

      d) controllo e gestione (sistemi di  segnalazione,  sistemi  di autenticazione, Domain Name System – DNS,  Home  Location  Register – HLR, sistemi di gestione di rete).

3. Topologia, caratteristiche e distribuzione degli asset nella rete.

    a)  Identificazione  degli  asset   in   termini   topologici   e dimensionali nella rete  relativamente  alle  tipologie  di  elementi funzionali definite al punto precedente;

    b) distribuzione geografica e caratteristiche di ridondanza degli asset che compongono le tipologie degli elementi;

    c) numerosita’ dei suddetti asset;

    d) interconnessioni tra i suddetti asset.

4. Esclusione degli asset.

    Individuazione degli asset dei quali,  sulla  base  di  opportune motivazioni, si prevede l’esclusione dall’insieme di  quelli  oggetto della valutazione

DELIBERA 30 ottobre 2018: whistleblowing

AUTORITA’ NAZIONALE ANTICORRUZIONE

DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di tutela degli autori di segnalazioni di reati o irregolarita’ di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui all’art. 54-bis del decreto legislativo n. 165/2001 (c.d. whistleblowing). (Delibera n. 1033). (18A07363) (GU Serie Generale n.269 del 19-11-2018)

 

In Gazzetta Ufficiale la DELIBERA 30 ottobre 2018 dell’Autorità Nazionale Anticorruzione in materia di whistleblowing.

AUTORITA’ NAZIONALE ANTICORRUZIONE
DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di
tutela degli autori di segnalazioni di reati o irregolarita’ di cui
siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui
all’art. 54-bis del decreto legislativo n. 165/2001 (c.d.
whistleblowing). (Delibera n. 1033). (18A07363)
(GU n.269 del 19-11-2018)

Capo I
Disposizioni generali

IL CONSIGLIO DELL’AUTORITA’
NAZIONALE ANTICORRUZIONE

Visto l’art. 13 del decreto legislativo 27 ottobre 2009, n. 150,
come modificato dal decreto legislativo 25 maggio 2017, n. 74;
Vista la legge 6 novembre 2012, n. 190, e successive modificazioni
ed integrazioni;
Visti gli articoli 19, comma 5, e 31 del decreto-legge 24 giugno
2014, n. 90, convertito con modificazioni dalla legge 11 agosto 2014,
n. 114;
Visto l’art. 54-bis del decreto legislativo 30 marzo 2001, n. 165,
come modificato dall’art. 1 della legge 30 novembre 2017, n. 179 e,
in particolare, il comma 6;
Vista la legge 24 novembre 1981, n. 689;
Visto l’art. 34-bis del decreto-legge 18 ottobre 2012, n. 179,
convertito in legge 17 dicembre 2012, n. 221, come modificato dal
decreto-legge 31 agosto 2013, n. 101, convertito con modificazioni
dalla legge 30 ottobre 2013, n. 125;
Visto il «Regolamento concernente l’accesso ai documenti formati o
detenuti dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241»;
Visto il decreto del Presidente del Consiglio dei ministri 1°
febbraio 2016 con il quale e’ stato approvato il Piano di riordino
dell’Autorita’ nazionale anticorruzione;
Visti il «Regolamento sull’esercizio dell’attivita’ di vigilanza in
materia di contratti pubblici», il «Regolamento sull’esercizio
dell’attivita’ di vigilanza in materia di prevenzione della
corruzione», il «Regolamento sull’esercizio dell’attivita’ di
vigilanza sul rispetto degli obblighi di pubblicazione di cui al
decreto legislativo 14 marzo 2013, n. 33», il «Regolamento
sull’esercizio dell’attivita’ di vigilanza in materia di
inconferibilita’ e incompatibilita’ di incarichi nonche’ sul rispetto
delle regole di comportamento dei pubblici funzionari»;
Vista la «Direttiva annuale sullo svolgimento della funzione di
vigilanza» dell’Autorita’;
Viste le «Linee guida in materia di tutela del dipendente pubblico
che segnala illeciti (c.d. whistleblower)» dell’Autorita’;
Vista la delibera n. 1196 del 23 novembre 2016 recante il
«Riassetto organizzativo dell’Autorita’ nazionale anticorruzione a
seguito dell’approvazione del Piano di riordino e delle nuove
funzioni attribuite in materia di contratti pubblici e di prevenzione
della corruzione e della trasparenza, e individuazione dei centri di
responsabilita’ in base alla missione istituzionale dell’Autorita’»,
come modificata dalla delibera n. 1 del 10 gennaio 2018;
Tenuto conto della procedura di consultazione pubblica terminata il
30 settembre 2018;

E m a n a

il seguente regolamento:

Art. 1 – Definizioni

Ai fini del presente regolamento, si intende per:

a) «art. 54-bis», l’art. 54-bis del decreto legislativo 30 marzo
2001, n. 165, come modificato dall’art. 1 della legge 30 novembre
2017, n. 179;

b) «Autorita’», l’Autorita’ nazionale anticorruzione;

c) «Presidente», il Presidente dell’Autorita’;

d) «Consiglio», il Consiglio dell’Autorita’;

e) «ufficio», l’Ufficio per la vigilanza sulle segnalazioni
pervenute all’Autorita’, ai sensi dell’art. 54-bis, competente per il
procedimento sanzionatorio di cui al presente regolamento;

f) «dirigente», il dirigente dell’ufficio;

g) «responsabile della prevenzione della corruzione e della
trasparenza (RPCT)», il soggetto individuato ai sensi dell’art. 1,
comma 7, della legge 6 novembre 2012, n. 190, come modificato
dall’art. 41 del decreto legislativo 25 maggio 2016, n. 97;

h) «comunicazione», la comunicazione di violazioni di cui al
comma 6, primo periodo, dell’art. 54-bis fatta in ogni caso
all’Autorita’, ai sensi del comma 1, penultimo periodo, dell’art.
54-bis, da parte dell’interessato o delle organizzazioni sindacali
maggiormente rappresentative nell’amministrazione nella quale si
ritiene siano state commesse tali violazioni;

i) «segnalazione», la segnalazione di violazioni di cui al comma
6, secondo e terzo periodo, dell’art. 54-bis all’Autorita’, da parte
dei soggetti di cui al comma 2, dell’art. 54-bis;

j) «misure discriminatorie», tutte le misure individuate all’art.
54-bis, comma 1, primo periodo, adottate in conseguenza della
segnalazione di reati o irregolarita’ di cui allo stesso comma 1,
aventi effetti negativi, diretti o indiretti, sulle condizioni di
lavoro del segnalante come definito al comma 2, dell’art. 54-bis;

k) «sanzioni», le sanzioni amministrative pecuniarie individuate
nel loro ammontare minimo e massimo dall’art. 54-bis, comma 6.

Art. 2 – Oggetto

1. Il presente regolamento, adottato nell’ambito del potere
regolamentare riconosciuto all’Autorita’, disciplina il procedimento
per l’irrogazione delle sanzioni amministrative pecuniarie di cui
all’art. 54-bis, comma 6.

Art. 3 – Attivita’ sanzionatoria d’ufficio, su comunicazione e su segnalazione

1. L’Autorita’ esercita il potere sanzionatorio:

a) d’ufficio, qualora accerti una o piu’ delle violazioni di cui
all’art. 54-bis, comma 6, nell’ambito di attivita’ espletate secondo
la direttiva annuale sullo svolgimento della funzione di vigilanza
dell’Autorita’;

b) su comunicazione di cui all’art. 1, comma 1, lettera h);

c) su segnalazione di cui all’art. 1, comma 1, lettera i).

2. Le comunicazioni e le segnalazioni sono presentate, di norma,
attraverso il modulo della piattaforma informatica disponibile sul
sito istituzionale dell’Autorita’, che utilizza strumenti di
crittografia e garantisce la riservatezza dell’identita’ del
segnalante e del contenuto della segnalazione nonche’ della relativa
documentazione.

Art. 4 – Responsabile del procedimento

1. Responsabile del procedimento sanzionatorio e’ il dirigente.

2. Il responsabile del procedimento, esaminate le comunicazioni e
le segnalazioni e attribuito alle stesse l’ordine di priorita’ di cui
all’art. 5, puo’ individuare uno o piu’ funzionari cui affidare lo
svolgimento dell’istruttoria.

Art. 5 – Ordine di priorita’ delle comunicazioni e delle segnalazioni

1. Le comunicazioni e le segnalazioni sono trattate secondo il
seguente ordine di priorita’:

a) nei casi di cui al comma 6, primo periodo, art. 54-bis, si ha
riguardo alla gravita’ delle misure discriminatorie e all’eventuale
danno alla salute nonche’ alla reiterata adozione di misure
discriminatorie e alla adozione di piu’ misure discriminatorie
oltreche’ alla partecipazione di diversi soggetti all’adozione di
misure discriminatorie;

b) nei casi di cui al comma 6, secondo periodo, art. 54-bis, si
ha riguardo all’assenza di procedure per l’inoltro e la gestione
delle segnalazioni nonche’ all’adozione di procedure non conformi
alle linee guida dell’Autorita’, in particolare, riguardo alla
promozione, ai sensi dell’art 54-bis, comma 5, ultimo periodo, del
ricorso a strumenti di crittografia per garantire la riservatezza
dell’identita’ del segnalante e del contenuto della segnalazione
nonche’ della relativa documentazione;

c) nei casi di cui al comma 6, terzo periodo, art. 54-bis, si ha
riguardo alla gravita’ degli illeciti segnalati al RPCT, all’ampiezza
dell’intervallo temporale della inerzia del RPCT e al numero degli
illeciti segnalati al RPCT.

Art. 6 – Provvedimenti conclusivi del procedimento

1. Il procedimento si conclude con l’adozione di uno o piu’ dei
seguenti provvedimenti:

a) di archiviazione, qualora sia stata riscontrata l’assenza dei
presupposti di fatto o di diritto per la comminazione della sanzione
amministrativa pecuniaria;

b) di irrogazione della sanzione amministrativa pecuniaria tra il
minimo ed il massimo edittale, tenuto conto del criterio della
dimensione dell’amministrazione o dell’ente cui si riferisce la
comunicazione o la segnalazione di cui all’art. 54-bis, comma 6 e dei
criteri di cui all’art. 11 della legge n. 689/1981.

Capo II
Procedimento sanzionatorio

Art. 7 – Avvio del procedimento

1. La comunicazione di avvio del procedimento e’ effettuata dal
responsabile del procedimento mediante lettera di contestazione degli
addebiti.

2. La comunicazione e’ inviata ai soggetti destinatari del
provvedimento finale.

3. Nella comunicazione di avvio di cui al comma 1 sono indicati:

a) l’oggetto del procedimento;

b) la contestazione della violazione, con l’indicazione delle
disposizioni violate, delle relative norme sanzionatorie e delle
sanzioni comminabili all’esito del procedimento, nonche’ la menzione
della possibilita’ di effettuare, entro sessanta giorni, il pagamento
della sanzione in misura ridotta, ai sensi dell’art. 16 della legge
n. 689/1981, indicandone le modalita’;

c) il responsabile del procedimento;

d) l’ufficio presso cui si puo’ accedere agli atti;

e) la facolta’ di presentare eventuali memorie, deduzioni scritte
e documenti nonche’ la richiesta di audizione presso l’ufficio e il
termine entro cui possono essere presentati;

f) la facolta’ per i soggetti che abbiano esercitato una delle
facolta’ di cui alla lettera precedente di richiedere l’audizione al
Consiglio e il termine entro cui essa puo’ essere richiesta;

g) la casella di posta elettronica certificata (PEC), presso la
quale effettuare le comunicazioni relative al procedimento, e
l’invito a comunicare, con il primo atto utile, l’eventuale altra
PEC, presso la quale il soggetto interessato intende ricevere le
comunicazioni e le notificazioni relative al procedimento;

h) il termine di conclusione del procedimento.

4. Il termine per la comunicazione di avvio del procedimento,
decorrente dall’acquisizione della notizia della violazione di cui
all’art. 54-bis, comma 6, o della comunicazione o della segnalazione,
e’, salve specifiche esigenze del procedimento, di novanta giorni.

5. Il termine di cui al precedente comma puo’ essere prorogato in
presenza di particolari e motivate esigenze istruttorie, anche in
caso di estensione soggettiva od oggettiva del procedimento. Il
responsabile del procedimento comunica la proroga ai soggetti di cui
al comma 2 e ne informa i soggetti di cui al comma 8.

6. In ragione di un rilevante numero di destinatari la
comunicazione personale di cui al comma 2 puo’ essere sostituita da
modalita’ di volta in volta stabilite dall’Autorita’, nel rispetto
della vigente normativa in materia di protezione dei dati personali.

7. Il responsabile del procedimento invia al Consiglio, con cadenza
bimestrale, l’elenco dei procedimenti avviati ai sensi del presente
articolo.

8. Il responsabile del procedimento informa dell’avvio del
procedimento sanzionatorio i soggetti che hanno effettuato le
comunicazioni o le segnalazioni.

Art. 8 – Istruttoria

1. L’Ufficio, ricevute le deduzioni e i documenti dei soggetti cui
e’ stato comunicato l’avvio del procedimento, o scaduto il termine
per la loro presentazione, procede all’esame degli atti del
procedimento sanzionatorio.

2. Il responsabile del procedimento puo’ richiedere ulteriori
informazioni, chiarimenti, atti e documenti ai soggetti cui e’ stato
comunicato l’avvio del procedimento, anche avvalendosi dell’ufficio
ispettivo dell’Autorita’, della Guardia di finanza, ovvero
dell’Ispettorato per la funzione pubblica del Dipartimento della
funzione pubblica della Presidenza del Consiglio dei ministri.

3. Le richieste di cui al precedente comma sono formulate per
iscritto e indicano:

a) i fatti e le circostanze in ordine ai quali si effettuano tali
richieste;
b) il termine per l’adempimento che, tenuto conto dell’urgenza,
della quantita’ e qualita’ delle informazioni e dei documenti
richiesti, e’ non inferiore a dieci giorni e non superiore a trenta
giorni.

4. I documenti di cui e’ richiesta l’esibizione sono forniti,
preferibilmente, su supporto informatico, con allegata dichiarazione
di conformita’ all’originale. In alternativa, possono essere forniti
in originale o copia conforme.

5. Le richieste di informazioni e di esibizione di documenti
possono essere formulate anche oralmente nel corso di audizioni o
ispezioni, rendendole note all’interessato e verbalizzando le
medesime.

6. Il responsabile del procedimento, ove ritenuto necessario, puo’
convocare in audizione, anche su loro richiesta, i soggetti che hanno
effettuato le comunicazioni o le segnalazioni.

7. I soggetti cui e’ stata data comunicazione di avvio del
procedimento esercitano il proprio diritto di difesa, in merito agli
addebiti contestati nella fase istruttoria, mediante:
a) presentazione di memorie, deduzioni scritte e documenti;
b) accesso agli atti;
c) audizione innanzi all’ufficio.

8. Le memorie, le deduzioni scritte e i documenti sono inviati
all’ufficio entro il termine di trenta giorni dalla notifica della
lettera di contestazione degli addebiti. Tale termine puo’ essere
prorogato, per una sola volta e per un periodo non superiore a trenta
giorni, a seguito di motivata richiesta dei soggetti interessati.

9. L’accesso agli atti del procedimento avviene mediante istanza
all’ufficio nel rispetto delle modalita’ e dei termini previsti dal
«Regolamento concernente l’accesso ai documenti formati o detenuti
dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241». Sono
sottratte all’accesso le comunicazioni e le segnalazioni, ai sensi
dell’art. 54-bis, comma 4.

10. L’audizione puo’ essere richiesta entro il termine di dieci
giorni dalla data di ricezione della comunicazione di avvio del
procedimento. Tale richiesta contiene l’oggetto e la descrizione
sintetica, ancorche’ precisa, chiara e puntuale, della esposizione
orale nonche’ le ragioni per le quali sia ritenuta necessaria. Ove
accolta, il responsabile del procedimento comunica agli istanti la
data e il luogo in cui sara’ svolta l’audizione. Tale data, anche a
fronte di istanze di differimento reiterate, puo’ essere differita,
su richiesta motivata, per un periodo comunque non superiore a trenta
giorni.

11. Nel corso delle audizioni i soggetti convocati possono farsi
assistere dal proprio legale di fiducia.

12. Delle audizioni e’ redatto processo verbale, contenente le
principali dichiarazioni delle parti, sottoscritto dai soggetti
partecipanti. Del processo verbale e’ consegnata copia ai soggetti
partecipanti che ne facciano richiesta. Ai soli fini di supporto per
la verbalizzazione, puo’ essere disposta, a cura dell’Autorita’, la
registrazione magnetica e/o informatica delle audizioni.

Art. 9 – Conclusione del procedimento

1. Al termine dell’istruttoria, qualora non ricorrano i presupposti
per l’archiviazione, ai sensi dell’art. 6, comma 1, lettera a),
l’ufficio, entro centottanta giorni dalla data di avvio del
procedimento, comunica all’interessato che intende proporre al
Consiglio l’adozione del provvedimento sanzionatorio.

2. L’interessato, entro dieci giorni dalla comunicazione di cui al
precedente comma, puo’ presentare ulteriori memorie difensive, ovvero
chiedere l’audizione in Consiglio, in presenza di circostanze e fatti
nuovi rispetto a quanto accertato in sede istruttoria. La richiesta
di audizione puo’ essere accolta con disposizione del Presidente. Si
applica il comma 11 e, nelle parti compatibili, il comma 10 dell’art.
8.

3. Il Consiglio, tenuto conto delle memorie presentate e delle
risultanze dell’eventuale audizione, adotta il provvedimento
conclusivo.

4. Il provvedimento sanzionatorio indica gli elementi di fatto e di
diritto su cui si fonda la decisione, il termine per ricorrere e
l’autorita’ cui proporre ricorso nonche’ le modalita’ e il termine
entro il quale effettuare il pagamento della sanzione. Il
provvedimento viene notificato al responsabile dell’infrazione
contestata.

5. Nel caso di mancato pagamento della sanzione nel termine
indicato nel provvedimento sanzionatorio, l’ufficio competente
provvede all’iscrizione a ruolo delle somme dovute.

6. Il provvedimento di archiviazione indica gli elementi di fatto e
di diritto su cui si fonda la decisione. Il provvedimento viene
comunicato ai soggetti di cui al comma 2 dell’art. 7.

7. Il responsabile del procedimento comunica gli esiti del
procedimento ai soggetti che hanno effettuato la comunicazione o la
segnalazione.

Art. 10 – Procedimento sanzionatorio semplificato

1. Il procedimento e’ svolto in forma semplificata nei casi in cui:

a) nell’espletamento dell’attivita’ di vigilanza dell’Autorita’
venga riscontrata la mancanza delle procedure di ricezione e/o
gestione delle segnalazioni di cui all’art. 54-bis;
b) la segnalazione della mancanza delle procedure di ricezione
e/o gestione delle segnalazioni di cui all’art. 54-bis, e’ ritenuta
ragionevolmente fondata a seguito dello svolgimento dell’attivita’
preistruttoria dell’ufficio.

2. Nei casi di cui al comma 1, la comunicazione di avvio del
procedimento di cui all’art. 7, comma 1, contiene, altresi’, i
presupposti di fatto e le ragioni di diritto in relazione agli esiti
delle attivita’ svolte dall’Autorita’ che depongono per l’irrogazione
della sanzione.

3. Il presente procedimento e’ disciplinato dalle disposizioni dei
Capi I e III, e, ad esclusione delle disposizioni di cui ai commi 1 –
4, dell’art. 9 e delle disposizioni inerenti alla facolta’ di
richiedere audizione all’ufficio o al Consiglio, del Capo II.

4. Il dirigente, entro quarantacinque giorni, decorrenti dalla data
di ricevimento delle deduzioni e dei documenti da parte dei soggetti
cui e’ stata notificata la lettera di contestazione degli addebiti
ovvero scaduto il termine per la loro presentazione, trasmette al
Consiglio la proposta di adozione del provvedimento conclusivo.

5. Il Consiglio, tenuto conto delle eventuali memorie prodotte,
adotta il provvedimento conclusivo.

Art. 11 – Pubblicazione del provvedimento

1. Il provvedimento sanzionatorio e’ pubblicato sul sito
istituzionale dell’Autorita’ nella sezione dedicata alle segnalazioni
di cui all’art. 54-bis dopo la notizia dell’avvenuta notificazione al
soggetto interessato ovvero, nel caso di piu’ soggetti, dopo la
notizia dell’avvenuta ultima notificazione.

2. Il Consiglio puo’ altresi’ disporre la pubblicazione sul sito
istituzionale dell’amministrazione o dell’ente.

3. Il Consiglio, al fine di tutelare la riservatezza dell’identita’
del segnalante, puo’ disporre la pubblicazione del provvedimento in
forma anche parzialmente anonima ovvero l’esclusione della
pubblicazione.

Art. 12 – Comunicazioni relative al procedimento

1. Le comunicazioni e le notificazioni previste dal presente
regolamento sono effettuate secondo le seguenti modalita’:

a) mediante la piattaforma informatica di cui all’art. 3, comma
2;
b) mediante casella di posta elettronica certificata (PEC)
indicata all’Autorita’;
c) nelle altre forme previste dall’ordinamento vigente.

Capo III
Disposizioni finali

Art. 13 – Disposizioni relative ai procedimenti di vigilanza attivati sulla
base di una segnalazione di reati o irregolarita’ ai sensi dell’art. 54-bis

1. Nel caso di segnalazione di illeciti, ai sensi dell’art. 54-bis,
i procedimenti di vigilanza in materia di contratti pubblici di
lavori, servizi e forniture, di anticorruzione, di trasparenza e di
imparzialita’ dei funzionari pubblici sono affidati all’ufficio, che
svolge le attivita’ istruttorie, ai sensi dei rispettivi regolamenti
di vigilanza e delle linee guida adottate dall’Autorita’ in materia,
nel rispetto della tutela della riservatezza dell’identita’ del
segnalante come previsto dall’art. 54-bis, con la collaborazione
degli uffici di vigilanza interessati per materia. Il dirigente
informa il Consiglio dei casi nei quali richiede la collaborazione
degli uffici di vigilanza suddetti.

2. In casi di particolare complessita’, su richiesta del dirigente,
il Consiglio puo’ autorizzare la proroga dei termini previsti per il
compimento degli atti del procedimento di vigilanza.
3. I provvedimenti conclusivi dei procedimenti di cui al presente
articolo sono adottati dal Consiglio, su congiunta proposta del
dirigente e del dirigente dell’ufficio di vigilanza interessato.

Art. 14 – Entrata in vigore

1. Il presente regolamento entra in vigore il quindicesimo giorno
successivo alla pubblicazione nella Gazzetta ufficiale. Esso si
applica ai procedimenti sanzionatori avviati successivamente alla sua
entrata in vigore.

Approvato dal Consiglio dell’Autorita’ con delibera n. 1033
nell’adunanza del 30 ottobre 2018.

Roma, 30 ottobre 2018

Il Presidente: Cantone

 

Scarica la DELIBERA 30 ottobre 2018 completa: DELIBERA 30 OTTOBRE 2018 – ANTICORRUZIONE

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati

gazzetta ufficiale privacy

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 11 ottobre 2018 Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679. (Delibera n. 467). (18A07359)

E’ stata pubblicata sulla Gazzetta Ufficiale del 19 novembre 2018 la DELIBERA 11 ottobre 2018 riportante l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679.

Di seguito il testo della delibera della Delibera.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro, presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano, componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del Consiglio del 27 aprile 2016, relativo alla protezione delle  persone fisiche con riguardo al trattamento dei dati personali, nonche'  alla libera circolazione di tali dati e che abroga la  direttiva  95/46/CE (regolamento generale sulla protezione dei dati, di seguito «RGPD»); 
  Visto, in specie, l'art. 35, paragrafo 1, del RGPD, che  stabilisce l'obbligo per  il  titolare  di  effettuare,  prima  dell'inizio  del trattamento, una valutazione dell'impatto del  trattamento  medesimo, laddove quest'ultimo  possa  presentare  un  rischio  elevato  per  i diritti e le liberta' delle persone fisiche, «allorche' preved[a]  in particolare  l'uso  di  nuove  tecnologie,  considerati  la   natura, l'oggetto, il contesto e le finalita' [...]»; 
  Visto il paragrafo 3 del medesimo articolo,  che  individua  alcune ipotesi in cui e' richiesta la valutazione d'impatto; 
  Visto il paragrafo 10 del predetto art. 35, che individua invece le ipotesi in cui tale valutazione  non  e'  richiesta,  in  particolare «qualora il trattamento effettuato ai sensi dell'art. 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o  nel  diritto  dello Stato membro cui il titolare del trattamento  e'  soggetto  una  base giuridica,  tale  diritto  disciplini  il  trattamento  specifico   o l'insieme di trattamenti in questione, e sia  gia'  stata  effettuata una valutazione d'impatto sulla protezione dei  dati  nell'ambito  di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica [...], salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima  di  procedere  alle  attivita'  di trattamento»; 
  Considerato che l'art. 35, paragrafo 4, rimette alle  autorita'  di controllo nazionali il compito di  redigere  e  rendere  pubblico  un elenco delle tipologie di trattamenti soggetti al  requisito  di  una valutazione d'impatto e di comunicarlo al  Comitato  europeo  per  la protezione dei dati di cui all'art. 68 del RGPD; 
  Considerato che il  paragrafo  6  del  citato  art.  35  stabilisce l'applicazione del meccanismo di coerenza  di  cui  all'art.  63  del RGPD, da parte  della  singola  autorita'  di  controllo  competente, qualora l'elenco  comprenda  «attivita'  di  trattamento  finalizzate all'offerta di beni o servizi a interessati  o  al  monitoraggio  del loro comportamento in piu' stati membri, o attivita'  di  trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione»; 
  Viste le indicazioni contenute nei «considerando» numeri 71,  75  e 91 del RGPD; 
  Viste le «Linee guida in materia  di  valutazione  d'impatto  sulla protezione dei  dati  e  determinazione  della  possibilita'  che  il trattamento  "possa  presentare  un  rischio  elevato"  ai  fini  del regolamento (UE) n. 2016/679» del Gruppo di lavoro  art.  29  per  la protezione dei dati del 4 aprile 2017, come modificate e adottate  da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per  la protezione dei dati il 25 maggio 2018 (di seguito «WP 248, rev. 01»), che  hanno  individuato  i  seguenti  nove  criteri  da   tenere   in considerazione  ai  fini  dell'identificazione  dei  trattamenti  che possono  presentare  un   «rischio   elevato»:   1)   valutazione   o assegnazione di un punteggio, inclusiva di profilazione e previsione, in  particolare  in  considerazione  di   «aspetti   riguardanti   il rendimento professionale, la  situazione  economica,  la  salute,  le preferenze  o  gli  interessi   personali,   l'affidabilita'   o   il comportamento, l'ubicazione o gli spostamenti  dell'interessato»;  2) processo decisionale automatizzato che ha effetto giuridico o  incide in modo analogo significativamente  sulle  persone;  3)  monitoraggio sistematico degli  interessati;  4)  dati  sensibili  o  dati  aventi carattere altamente personale; 5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;  7) dati  relativi  a  interessati  vulnerabili;  8)  uso  innovativo   o applicazione di nuove soluzioni  tecnologiche  od  organizzative;  9) quando  il  trattamento  in  se'  «impedisce  agli   interessati   di esercitare un  diritto  o  di  avvalersi  di  un  servizio  o  di  un contratto»); 
  Rilevato che il ricorrere di due o piu'  dei  predetti  criteri  e' indice di un trattamento  che  presenta  un  rischio  elevato  per  i diritti e le liberta' degli interessati e  per  il  quale  e'  quindi richiesta una valutazione d'impatto sulla protezione dei  dati  (cfr. WP 248, rev. 01, pag. 11); 
  Considerato che il garante ha predisposto un elenco delle tipologie di trattamento ai sensi dell'art. 35, paragrafo  4  da  sottoporre  a valutazione d'impatto; 
  Considerato che le previsioni di cui all'art. 35, paragrafo  1  del RGPD, che dispongono che «quando un tipo  di  trattamento,  allorche' prevede in particolare l'uso  di  nuove  tecnologie,  considerati  la natura, l'oggetto, il contesto e le finalita' del  trattamento,  puo' presentare un rischio elevato per  i  diritti  e  le  liberta'  delle persone fisiche, il  titolare  del  trattamento  effettua,  prima  di procedere  al   trattamento,   una   valutazione   dell'impatto   dei trattamenti previsti sulla protezione dei dati personali», prevalgono in ogni caso; 
  Considerato altresi' che il predetto elenco  e'  stato  predisposto sulla  base  del  WP  248,  rev.  01,  allo  scopo  di   specificarne ulteriormente il contenuto e a complemento dello stesso; 
  Rilevato che tale elenco e' stato comunicato in data 11 luglio 2018 al Comitato per il prescritto parere (art. 35, paragrafi  4  e  6,  e dall'art. 64, paragrafo 1, lettera a), del RGPD); 
  Viste le osservazioni rese dal Comitato nel parere adottato  il  25 settembre 2018  e  notificato  il  2  ottobre  2018  (disponibile  su https://edpb.europa.eu); 
  Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo 7, del RGPD, di aderire  alle  osservazioni  contenute  nel  suddetto parere e di modificare,  in  conformita',  il  relativo  progetto  di decisione e di darne comunicazione al presidente del Comitato; 
  Rilevato che tale elenco e' riferito esclusivamente a tipologie  di trattamento  soggette  al  meccanismo  di  coerenza  e  che  non   e' esaustivo,  restando  fermo  quindi   l'obbligo   di   adottare   una valutazione d'impatto sulla protezione dei dati laddove ricorrano due o piu' dei criteri individuati dal WP 248, rev. 01 e  che  in  taluni casi «un titolare del trattamento puo' ritenere  che  un  trattamento che  soddisfa  soltanto  uno  [dei  predetti]  criteri  richieda  una valutazione d'impatto sulla protezione dei dati» (cfr. WP  248,  rev. 01, pag. 11); 
  Rilevato,  altresi',  che  il   predetto   elenco   potra'   essere ulteriormente  modificato  o  integrato  anche   sulla   base   delle risultanze emerse nel corso della  prima  fase  di  applicazione  del RGPD; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi dell'art. 15 del regolamento del garante n. 1/2000; 
  Relatore il dott. Antonello Soro; 
 
Tutto cio' premesso: 
 
  a) ai sensi degli articoli 35, paragrafo  4,  e  57,  paragrafo  1, lettera k), del RGPD fermo restando quanto indicato nel richiamato WP 248, rev. 01, individua  l'elenco  delle  tipologie  di  trattamenti, soggetti al meccanismo  di  coerenza,  da  sottoporre  a  valutazione d'impatto, riportate nell'allegato 1  facente  parte  integrante  del presente provvedimento, che specificano quanto riportato  nel  citato WP 248, rev. 01; 
  b) ai  sensi  dell'art.  64,  paragrafo  7  del  RGPD  comunica  al presidente del Comitato il presente  provvedimento  che  recepisce  i rilievi formulati nel parere richiamato in premessa; 
  c)   invia   copia   della   presente   deliberazione   all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia  ai  fini della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana. 
    Roma, 11 ottobre 2018 
 
Il presidente e relatore: Soro 
Il segretario generale: Busia 
(Allegato )
Allegato 1 
 
    1. Trattamenti valutativi o di scoring su  larga  scala,  nonché trattamenti che comportano la profilazione degli interessati  nonché lo svolgimento di attivita' predittive  effettuate  anche  on-line  o attraverso  app,  relativi  ad  «aspetti  riguardanti  il  rendimento professionale, la situazione economica, la salute,  le  preferenze  o gli  interessi  personali,  l'affidabilita'   o   il   comportamento, l'ubicazione o gli spostamenti dell'interessato». 
    2. Trattamenti automatizzati finalizzati  ad  assumere  decisioni che producono  «effetti  giuridici»  oppure  che  incidono  «in  modo analogo significativamente» sull'interessato, comprese  le  decisioni che impediscono di esercitare un diritto o di avvalersi di un bene  o di un servizio o di continuare ad esser  parte  di  un  contratto  in essere  (ad  es.  screening  dei  clienti  di  una  banca  attraverso l'utilizzo di dati registrati in una centrale rischi). 
    3. Trattamenti che prevedono un utilizzo sistematico di dati  per l'osservazione, il monitoraggio o  il  controllo  degli  interessati, compresa la  raccolta  di  dati  attraverso  reti,  effettuati  anche on-line o attraverso app, nonche' il  trattamento  di  identificativi univoci in grado di identificare gli utenti di servizi della societa' dell'informazione inclusi servizi web, tv interattiva, ecc.  rispetto alle abitudini d'uso e ai dati di  visione  per  periodi  prolungati. Rientrano in tale previsione anche i trattamenti di metadati  ad  es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma piu'  in  generale  per  ragioni  organizzative,  di previsioni di budget, di  upgrade  tecnologico,  miglioramento  reti, offerta di servizi antifrode, antispam, sicurezza etc. 
    4.  Trattamenti  su  larga  scala  di   dati   aventi   carattere estremamente personale (v. WP 248, rev. 01): si fa  riferimento,  fra gli altri, ai dati connessi alla vita familiare o  privata  (quali  i dati relativi  alle  comunicazioni  elettroniche  dei  quali  occorre tutelare la  riservatezza),  o  che  incidono  sull'esercizio  di  un diritto fondamentale (quali i dati sull'ubicazione, la  cui raccolta mette in gioco la liberta' di circolazione) oppure la cui  violazione comporta un grave  impatto  sulla  vita  quotidiana  dell'interessato (quali  i  dati  finanziari  che  potrebbero  essere  utilizzati  per commettere frodi in materia di pagamenti). 
    5. Trattamenti effettuati  nell'ambito  del  rapporto  di  lavoro mediante sistemi  tecnologici  (anche  con  riguardo  ai  sistemi  di videosorveglianza  e  di  geolocalizzazione)  dai  quali  derivi   la possibilita' di effettuare un controllo a distanza dell'attivita' dei dipendenti (si  veda  quanto  stabilito  dal  WP  248,  rev.  01,  in relazione ai criteri numeri 3, 7 e 8). 
    6. Trattamenti  non  occasionali  di  dati  relativi  a  soggetti vulnerabili (minori, disabili, anziani, infermi di  mente,  pazienti, richiedenti asilo). 
    7.  Trattamenti  effettuati  attraverso   l'uso   di   tecnologie innovative, anche con particolari misure di  carattere  organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale;  monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimita'  come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01. 
    8. Trattamenti che comportano lo scambio tra diversi titolari  di dati su larga scala con modalita' telematiche. 
    9.   Trattamenti   di   dati   personali   effettuati    mediante interconnessione, combinazione o raffronto di informazioni,  compresi i trattamenti che prevedono l'incrocio dei dati di  consumo  di  beni digitali con dati di pagamento (es. mobile payment). 
    10.  Trattamenti  di  categorie  particolari  di  dati  ai  sensi dell'art. 9 oppure di dati relativi a condanne penali e  a  reati  di cui all'art. 10 interconnessi con altri dati personali  raccolti  per finalita' diverse. 
    11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 
    12. Trattamenti sistematici di dati genetici, tenendo  conto,  in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 

Scarica la DELIBERA 11 ottobre 2018 completa: DELIBERA 11 OTTOBRE 2018 – GARANTE PRIVACY

 

NUOVA UNI EN 419212-4:2018: PROTOCOLLI SPECIFICI PER LA PRIVACY

logo_uni

UNI EN 419212-4:2018

Interfaccia applicativa per componenti sicuri per servizi di identificazione elettronica, autenticazione e affidabilità
Parte 4: Protocolli specifici per la Privacy

La norma specifica meccanismi per componenti sicuri da utilizzare come dispositivi che supportano la privacy nel contesto dei servizi di identificazione, autenticazione e firma digitale (IAS) e soddisfano i requisiti dell’articolo 5 del cosiddetto regolamento eIDAS ai fini dell’elaborazione e della protezione dei dati.
Copre:
– Verifica dell’età
– Convalida del documento
– Identificazione ristretta
– Servizi elettronici con terze parti fidate basati sul protocollo ERA (Enhanced Role Authentication)

Contenuti della norma

European foreword

Introduction

1 Scope

2 Normative references

3 Introduction
3.1 General
3.2 Auxiliary Data Comparison
3.2.1 General
3.2.2 Presentation of the auxiliary data
3.2.3 Age Verification
3.2.4 Document Validation
3.3 Restricted Ideotification
3.3.1 General
3.3.2 Command APDU for Step RI:1
3.3.3 Command APDU for Step RI:2

4 e-Services with trusted third party protocol
4.1 General
4.2 Architecture
4.3 Enhanced Role Authentication (ERA) protocol
4.4 Authentication flow steps
4.4.1 General
4.4.2 Step 1: Service selection
4.4.3 Step 2: User consent
4.4.4 Step 3 User authentication to the SP
4.4.5 Step 4 Access to the service (or go to next steps)
4.4.6 Step 5 Request for attributes (OPT)
4.4.7 Step 6 Restoration of security context (OPT)
4.4.8 Step 7 User authentication to the AP (OPT)
4.4.9 Step 8 Reading and providing attribute requested (OPT)
4.4.10 Step 9 Restoration of security context (OPT)
4.4.11 Step 10 Ask access to the service (OPT)
4.4.12 Step 11 Verification of attributes by the SP (OPT)
4.4.13 Step 12 Grant access to the service (OPT)

Bibliography


Norma numero : UNI EN 419212-4:2018
Titolo : Interfaccia applicativa per componenti sicuri per servizi di identificazione elettronica, autenticazione e affidabilità – Parte 4: Protocolli specifici per la Privacy
Data entrata in vigore : 11 ottobre 2018
 
Sommario : La norma specifica meccanismi per componenti sicuri da utilizzare come dispositivi che supportano la privacy nel contesto dei servizi di identificazione, autenticazione e firma digitale (IAS) e soddisfano i requisiti dell’articolo 5 del cosiddetto regolamento eIDAS ai fini dell’elaborazione e della protezione dei dati.
Copre:
– Verifica dell’età
– Convalida del documento
– Identificazione ristretta
– Servizi elettronici con terze parti fidate basati sul protocollo ERA (Enhanced Role Authentication)
Lista Norme CEN

Recepisce :
EN 419212-4:2018

 

[Fonte: UNI.COM]

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

[Fonte Garante della Privacy]

Il problema della segretezza negli appalti digitali.


Dal 18 ottobre 2018 tutte le comunicazioni degli Appalti pubblici, a partire dalla presentazione delle candidature e delle offerte, devono avvenire solo con modalità elettronica: la norma sugli appalti digitali, le questioni di riservatezza e il rischio di inadeguatezza dei sistemi.

[…]

Il problema della segretezza negli appalti digitali

Altro errore che si potrebbe commettere è quello di ritenere l’utilizzo della PEC rispondente all’obbligo, normativamente imposto dall’art. 40 del D.Lgs. 50/2016, di valersi esclusivamente di mezzi elettronici di comunicazione nell’ambito delle procedure di affidamento di contratti pubblici. In realtà non è così, atteso che l’utilizzo della PEC per la trasmissione delle richieste di partecipazione alla gara e/o delle offerte vere e proprie non consentirebbe di rispettare il precetto contenuto nel citato art. 22 c. 3 della direttiva europea – recepito nell’art. 52 c. 5 del codice contratti – e tradizionalmente da sempre ritenuto ineludibile anche dalla normativa e dalla giurisprudenza nazionali, secondo il quale le stazioni appaltanti possono esaminare il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione e ne devono garantire, sino a quel momento, la completa riservatezza.

Questo postula la necessità di gestire la procedura di affidamento attraverso strumenti che consentano di preservare in ogni momento la segretezza e l’integrità delle comunicazioni scambiate e, in particolare, delle domande di partecipazione e delle offerte presentate, senza permettere ad alcuno l’accesso al loro contenuto prima del termine assegnato per la presentazione. In altre parole, la posta elettronica non è sufficiente, ma occorrono delle piattaforme di e-procurement che consentano di gestire le gare, comprese quelle informali e quelle di nuova generazione come i partenariati per l’innovazione o le procedure competitive con negoziazione, in modo interamente elettronico e completamente rispondente ai requisiti imposti dalla normativa

Estratto dall’articolo di Paola Conio

Osservatorio Agenda Digitale Politecnico di Milano.

Leggi tutto l’articolo su agendadigitale.eu

GARANTE PRIVACY: Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
COMUNICATO

Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare (18A06387) (GU Serie Generale n.231 del 04-10-2018)

 

gAi sensi dell’art. 19 del decreto legislativo 10 agosto 2018, n.
101, si informa che, entro il termine di sessanta giorni dalla data
di pubblicazione del presente avviso, i soggetti che dichiarano il
loro attuale interesse possono presentare al Garante per la
protezione dei dati personali motivata richiesta di trattazione dei
reclami, delle segnalazioni e delle richieste di verifica preliminare
pervenuti entro il 25 maggio 2018.
La predetta richiesta non riguarda i reclami e le segnalazioni di
cui si e’ gia’ esaurito l’esame o di cui il Garante per la protezione
dei dati personali ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale. Si
intendono gia’ esaminati dal Garante i reclami e le segnalazioni per
i quali l’istante abbia ricevuto dal Garante la comunicazione di
avvio del procedimento, anche mediante una richiesta di informazioni
o di esibizione di documenti a terze parti ovvero all’istante stesso.

 

GARANTE PRIVACY: DELIBERA 27 settembre 2018

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 27 settembre 2018

Indicazioni relative alle istanze che devono ritenersi comprese nell’ambito degli affari pregressi di cui all’articolo 19 del decreto legislativo 10 agosto 2018, n. 101. (Delibera n. 455). (18A06386)

 

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati, di seguito
«regolamento»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l’adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche’ alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
«Codice in materia di protezione dei dati personali» (di seguito
«Codice»);
Considerato che il regolamento trova applicazione negli ordinamenti
degli Stati membri a decorrere dal 25 maggio 2018 (art. 99, par. 2);
Considerato che, ai sensi dell’art. 19, comma 1, del decreto
legislativo n. 101/2018, entro il termine di sessanta giorni dalla
data di pubblicazione dell’avviso del Garante, i soggetti che
dichiarano il loro attuale interesse possono presentare al Garante
medesimo motivata richiesta di trattazione dei reclami, delle
segnalazioni e delle richieste di verifica preliminare (c.d. affari
pregressi) «pervenuti entro la predetta data»;
Considerato, altresi’, che la predetta richiesta non riguarda i
reclami e le segnalazioni di cui si e’ gia’ esaurito l’esame «o di
cui il Garante ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione», o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale (art.
19, comma 2, del decreto legislativo n. 101/2018);
Considerato che la formulazione delle predette disposizioni
potrebbe ingenerare dubbi interpretativi, sotto il profilo temporale
e sostanziale, in ordine alla sua applicabilita’ alle istanze
presentate a questa autorita’ a partire dal 25 maggio 2018;
Ritenuto, quindi, di dover fornire un opportuno chiarimento, anche
in coerenza con il regolamento, riguardante le istanze che devono
ritenersi ricomprese nell’ambito degli affari pregressi e, quindi,
oggetto di eventuale richiesta di trattazione da parte di coloro che
dichiarino il loro perdurante interesse alla relativa definizione
ovvero di trattazione da parte di questa autorita’;
Ritenuto che la disposizione di cui al citato art. 19, comma 1, del
decreto legislativo n. 101/2018, concernente le istanze riguardanti
la trattazione di affari pregressi aventi ad oggetto reclami,
segnalazioni e richieste di verifica preliminare, debba intendersi
riferita unicamente agli istituti disciplinati, dal Codice,
antecedentemente alle modifiche ad esso apportate in conseguenza
dell’applicazione della normativa europea. Tale interpretazione deve
ritenersi fondata sia nella circostanza che il diritto di proporre
reclami o segnalazioni fondati sulla nuova disciplina, prevalendo
sulle fonti interne eventualmente contrastanti, non e’ derogabile
(art. 77 del regolamento; articoli da 141 a 144 del Codice, come
novellati dal decreto legislativo n. 101/2018), sia nel fatto che,
successivamente alla menzionata data di applicazione del regolamento,
l’istituto della verifica preliminare risulta incompatibile con il
regolamento medesimo;
Ritenuto, pertanto, che all’ultimo periodo del comma 1 dell’art. 19
del decreto legislativo n. 101/2018, la locuzione «entro la predetta
data …», debba intendersi riferita al 24 maggio 2018;
Considerato, altresi’, che le norme sul procedimento amministrativo
e il regolamento n. 1/2007 riguardante le procedure interne presso
l’autorita’ aventi rilevanza esterna (pubblicato in Gazzetta
Ufficiale n. 65 del 14 dicembre 2007 e in www.gpdp.it – doc. web n.
1477480) portano a ritenere che l’esame dei reclami o delle
segnalazioni di cui al regime previgente normativo trovi inizio
nell’invio di un avviso di avvio del relativo procedimento, di una
richiesta di elementi o esibizione di documenti ovvero di altro atto
recettizio diretto al titolare o all’istante (articoli 6, 9, 10 e 14
del regolamento n. 1/2007);
Ritenuto, quindi, che la disposizione di cui al citato art. 19,
comma 2, del decreto legislativo n. 101/2018, concernente i reclami e
le segnalazioni sottratte all’esigenza di una loro sollecitazione da
parte dei soggetti che dichiarano il loro attuale interesse, in
quanto sono gia’ stati esaminati a seguito di un sollecito o una
richiesta di trattazione, debba intendersi riferita ai reclami e le
segnalazioni per i quali l’istante abbia ricevuto da parte degli
uffici di questa autorita’ la comunicazione di avvio del
procedimento, anche mediante una richiesta di informazioni o di
esibizione di documenti a terze parti ovvero all’istante stesso;
Ritenuto, pertanto, che al comma 2 dell’art. 19 del decreto
legislativo n. 101/2018, la locuzione «il Garante ha gia’ esaminato»,
debba intendersi riferita ai casi in cui gli uffici di questa
autorita’ abbiano gia’ inviato all’istante la comunicazione di avvio
del procedimento o di altro atto recettizio, anche mediante una
richiesta di informazioni o di esibizione di documenti a terze parti;
Vista la documentazione in atti;
Viste le osservazioni dell’ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante, n.
1/2000;
Relatore il dott. Antonello Soro;

Tutto cio’ premesso
il Garante:

a) ai sensi degli articoli 57, par. 1, del regolamento e 154, comma
1, lettera f), del Codice, come novellato dal decreto legislativo n.
101/2018, ai fini della corretta applicazione delle disposizioni,
fornisce le indicazioni di cui in premessa in relazione alle istanze
che devono ritenersi ricomprese nell’ambito degli affari pregressi di
cui all’art. 19 del decreto legislativo n. 101/2018;
b) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia – Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.

Roma, 27 settembre 2018

Il Presidente e relatore: Soro

Il segretario generale: Busia